17.10.2018
ID: 4258upozornenie pre užívateľov
GDPR dokumentácia v malých advokátskych kanceláriách
Ochrana osobných údajov podľa nových pravidiel sa týka aj samotných advokátov. Vo vzťahu k povinnostiam advokátov vyplývajúcich z GDPR pripravila Slovenská advokátska komora Kódex správania pre spracúvanie osobných údajov advokátmi (ďalej len „Kódex“).
 |
Návrh Kódexu je v súčasnosti v schvaľovacom procese a po jeho schválení by mal byť Kódex záväzný pre všetkých advokátov. Kódex aplikuje všeobecné ustanovenia GDPR na špecifické situácie advokátskej praxe. Prvý finálny návrh Kódexu sa nachádza na webovej stránke Slovenskej advokátskej komory.
Najdôležitejšie povinnosti advokátov podľa GDPR sa v praktickej rovine dajú rozdeliť do niekoľkých skupín. V prvom rade ide o povinnosti týkajúce sa vyhotovenia príslušnej dokumentácie (napr. záznamu o spracovateľských činnostiach podľa čl. 30 GDPR, sprostredkovateľských zmlúv podľa čl. 28 GDPR a pod.), ďalej o bezpečnostné opatrenia vo svojej organizácií (najmä zabezpečenie spisov klientov pred neoprávneným prístupom, neželanými úpravami alebo stratou), personálne opatrenia vo svojej organizácii (napr. splnenie povinnosti určiť zodpovednú osobu podľa čl. 37 GDPR alebo poveriť oprávnené osoby podľa čl. 29 GDPR) a nakoniec povinnosti vo vzťahu k dotknutým osobám (najmä vo vzťahu ku klientom, protistranám alebo zamestnancom).
1. Vyhotovenie príslušnej dokumentácie
Požiadavka viesť dokumentáciu sa môže na prvý pohľad javiť byrokraticky. Ide však o kľúčový prvok riadnej GDPR compliance, nakoľko úzko súvisí so základnou zásadou zodpovednosti podľa GDPR. Podľa tejto zásady je každý prevádzkovateľ povinný vedieť preukázať súlad s ostatnými základnými zásadami podľa GDPR, čo je prakticky možné náležite dosiahnuť len riadnou dokumentáciou.
GDPR dokumentácia u advokáta by mala zahŕňať najmä:
• Záznamy o spracovateľských činnostiach,
• Zmluvy o spracúvaní osobných údajov, najmä:
o Sprostredkovateľské zmluvy,
o Zmluvy so spoločnými prevádzkovateľmi,
o Zmluvnú dokumentáciu pri prenose do tretích krajín.
• V závislosti od využívaných právnych základov:
o Súhlasy, ak advokát spracúva osobné údaje na základe súhlasu dotknutej osoby,
o Testy proporcionality oprávneného záujmu, ak advokát spracúva osobné údaje na základe oprávneného záujmu.
• Informačné povinnosti voči dotknutým osobám (podmienky ochrany osobných údajov),
• Poverenie a poučenie zamestnancov, ktorí u neho osobné údaje spracúvajú,
• Analýza rizík – dokumentácia prijatých bezpečnostných opatrení vrátane analýzy dopadov na práva a slobody fyzických osôb,
• Evidencie, najmä:
o Evidencia prijatých a vybavených žiadostí dotknutých osôb,
o Evidencia bezpečnostných incidentov a ich oznámenie na Úrad na ochranu osobných údajov.
a. Záznamy o spracovateľských činnostiach
Vzhľadom na spôsob spracúvania osobných údajov advokátom sa na advokáta spravidla vždy bude vzťahovať povinnosť viesť záznamy o spracovateľských činnostiach.
Záznamy o spracovateľských činnostiach sú tabuľkový dokument, ktorého účelom je zmapovať najdôležitejšie aspekty spracúvania osobných údajov v konkrétnej organizácii. Čl. 30 GDPR stanovuje, ktoré informácie musia záznamy o spracovateľských činnostiach obsahovať. Záznamy teda poskytujú informáciu o tom, na aké účely spracúva advokát osobné údaje; aké osobné údaje spracúva (bežné osobné údaje alebo osobitná kategória osobných údajov); kto sú dotknuté osoby, ktorých údaje advokát spracúva; komu sú údaje v rámci procesu spracúvania poskytované; aké sú retenčné doby a vo všeobecnosti bezpečnostné opatrenia, a v prípade prenosu údajov do tretích krajín aj záruky zachovania bezpečnosti. Tieto informácie prevádzkovateľ uvádza ku každému procesu spracúvania osobitne.
Vhodný spôsob je oddeliť jednotlivé procesy spracúvania podľa účelu, na ktorý sa osobné údaje používajú. Osobné údaje v rámci jedného procesu teda spája spoločný účel (napr. „Klienti“, „Personalistika“ či „Marketing“).
b. Sprostredkovateľské zmluvy
S každým sprostredkovateľom, ktorý spracúva osobné údaje v mene advokáta, musí byť uzatvorená sprostredkovateľská zmluva v písomnej podobe, vrátane elektronickej podoby a musí spĺňať obsahové náležitosti podľa čl. 28 GDPR. Identifikácia toho, či je konkrétna osoba sprostredkovateľom advokáta si vyžaduje osobitnú analýzu. Ako príklad možno uviesť, že externý personalista, mzdár, účtovník, správca servera, poskytovateľ IT služieb alebo poskytovateľ webhostingu budú spravidla v postavení sprostredkovateľa, nakoľko spracúvajú osobné údaje v mene advokáta.
Zastupujúci advokát má vo vzťahu k poverujúcemu advokátovi iné postavenie. Každý advokát má na spracúvanie osobných údajov svoj vlastný právny základ, ktorým je v prípade osobných údajov klientov alebo protistrán zákon o advokácii. Samostatný advokát má pri spracúvaní osobných údajov v rozsahu nevyhnutnom na účely výkonu advokácie postavenie prevádzkovateľa, preto v tomto rozsahu nie je možné hovoriť o sprostredkovateľskom vzťahu medzi poverujúcim a zastupujúcim advokátom. Tým nie je dotknutá možnosť uzavretia dohody spoločných prevádzkovateľov medzi advokátmi v zmysle čl. 26 GDPR.
c. Súhlasy, testy proporcionality, informačné povinnosti (podmienky ochrany súkromia), poverenie a poučenie zamestnancov, analýza rizík, interné politiky a iné dokumenty.
Súhlas so spracúvaním osobných údajov je v praxi často nesprávne použitý. Je potrebné si uvedomiť, že odvolaním súhlasu dotknutej osoby zaniká prevádzkovateľovi právo ďalej tieto osobné údaje spracúvať. Napr. súhlas klienta so spracúvaním jeho osobných údajov v nevyhnutnom rozsahu pre účely jeho právneho zastúpenia nie je správne identifikovaný právny základ. Právnym základom v tomto prípade môže byť plnenie zmluvy s dotknutou osobou podľa čl. 6 ods. 1. písm. b) GDPR.
Test proporcionality oprávneného záujmu vypracuje advokát, ak na niektorú spracovateľskú operáciu využíva právny základ oprávnený záujem podľa čl. 6 ods. 1. písm. f) GDPR. K takejto situácii môže dôjsť napr. vtedy, ak advokát spracúva osobné údaje klientov pre účely marketingu (napr. zasielanie vianočných pozdravov či pozvánky na odborné semináre) alebo v prípade spracúvania osobných údajov na účely zaistenia bezpečnosti (kamerový systém). Test proporcionality oprávneného záujmu má posúdiť, či oprávnený záujem prevádzkovateľa prevažuje nad právami a slobodami dotknutých osôb.
Náležitému splneniu informačných povinností sme sa vo všeobecnej rovine venovali v samostatnom článku s názvom „Ako informovať fyzické osoby o spracúvaní ich osobných údajov podľa GDPR?“. Informačné povinnosti sú jednou z kľúčových povinností advokáta. Advokát má povinnosť všetky dotknuté osoby informovať v jednoduchej forme a transparentne o tom, akým spôsobom ich osobné údaje spracúva, a to bez ohľadu na právny základ spracúvania a tiež dotknuté osoby poučiť o ich právach podľa GDPR. Povinnosť advokáta vykonávať práva dotknutých osôb môže byť limitovaná jeho povinnosťou mlčanlivosti podľa § 18 ods. (8) zákona o advokácii. Ak teda dotknutá osoba, ktorá je protistranou, žiada o výkon práva na prístup k informáciám, ktoré o nej advokát spracúva, advokát jej nie je tieto informácie povinný poskytnúť, ak by to mohlo viesť k porušeniu povinnosti advokáta zachovávať mlčanlivosť podľa zákona o advokácii. Podrobnosti k tejto problematike budú uvedené v Kódexe.
Poverenie na spracúvanie osobných údajov je dokument, v ktorom advokát poverí konkrétnu osobu (napr. advokátskeho koncipienta, administratívneho pracovníka), aby spracúvala osobné údaje na konkrétne účely. Poverenie, by okrem pokynov advokáta na spracúvanie osobných údajov a určenia podmienok spracúvania, mohlo obsahovať aj poučenie o právach a povinnostiach poverenej osoby.
Interné politiky by mali nastavovať konkrétne procesy spracúvania osobných údajov a plnenia povinností vyplývajúcich z GDPR v konkrétnej organizácii (napr. spôsob výkonu práv dotknutých osôb, spôsob menovania a výkonu funkcie zodpovednej osoby, spôsob nahlasovania bezpečnostných incidentov a pod.).
Súčasťou dokumentácie sú aj evidencie bezpečnostných incidentov a evidencie žiadostí o výkon práv dotknutých osôb a ich vybavenia. Medzi ďalšie dokumenty patrí napr. posúdenie vplyvu na ochranu údajov podľa čl. 35 GDPR. V zmysle Kódexu posúdenie vplyvu môže byť najčastejšie relevantné pre advokátske kancelárie (obchodné spoločnosti), ktoré podľa čl. 35 ods. 3 písm. b) GDPR spracúvajú osobné údaje týkajúce sa uznania viny za trestné činy a priestupky podľa článku 10 GDPR, a to vo veľkom rozsahu. Na malé advokátske kancelárie sa preto povinnosť vypracovať posúdenie vplyvu vo vzťahu k údajom klientov a iných fyzických osôb v rozsahu nevyhnutnom na účely výkonu advokácie spravidla vzťahovať nebude. Povinnosť vykonať posúdenie vplyvu by sa pri malých advokátskych kanceláriách mohla vyskytnúť v súvislosti s inými informačnými systémami, napr. vo vzťahu k osobným údajom zraniteľných dotknutých osôb (zamestnanci), ktorých advokát systematicky monitoruje (napr. v prípade zavedenia kamerového systému alebo sledovania aktivity zamestnancov vo firemnej sieti), ak by spracúvanie mohlo viesť k vysokému riziku pre práva a slobody zamestnancov.
Mgr. Radovan Križalkovič,
advokátsky koncipient
Vajnorská 100/A
831 04 Bratislava
Tel: +421 2 32 609 451
e-mail: office@semancin.sk
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk